Datentransfer in Drittländer nach dem Aus des EU-U.S. Privacy Shield

Nachdem der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield für ungültig erklärt hat, müssen Verantwortliche auf andere Datenschutzgarantien zurückgreifen, wenn Sie personenbezogene Daten in die USA übermitteln wollen. Auf für Datentransfers in andere Drittländer (also außerhalb der EU bzw. des EWR) gelten nach dem Urteil neue Anforderungen, wenn Standardvertragsklauseln als Datenschutzgarantie verwendet werden sollen.

Informationen des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte mittlerweile seine Sichtweise zu den Konsequenzen aus dem Urteil des EuGHs. Wir haben die wichtigsten Aussagen des EDSA für Sie zusammengefasst:

  • Der EDSA unterstützt die Europäische Kommission dabei, ein neues rechtskonformes Datenschutzabkommen mit den USA abzuschließen. Es bleibt abzuwarten, ob dies besser gelingt als beim EU-U.S. Privacy Shield, welches bereits als Ersatz für das ebenfalls durch den EUGH gekippte Safe-Harbor-Abkommen diente.
  • Der EDSA weist sehr deutlich auf die Pflichten der datenschutzrechtlich Verantwortlichen und Aufsichtsbehörden hin, Drittlandtransfers auf Grundlage von Standardvertragsklauseln (standard contractual clauses, SCC) im Einzelfall zu prüfen und gegebenenfalls einzustellen bzw. zu untersagen, sollte das angemessene Datenschutzniveau im Zielland nicht gewährleistet sein.
  • Eine generelle Untersagung von Datentransfers auf Grundlage von SCC in die USA erteilt der Ausschuss zwar nicht, macht aber deutlich, dass solche Transfers nur erfolgen können, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
  • Der EDSA gibt zum jetzigen Zeitpunkt noch keine Hinweise darauf, wie solche zusätzlichen Maßnahmen aussehen könnten, kündigte aber weitere Hinweise und Leitfäden für solche Maßnahmen an.
  • Unternehmen, die nicht wissen, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, sind in der Pflicht jetzt die Verträge mit den Dienstleistern zu prüfen. Hierunter gehört auch die Überprüfung von möglichen Unterauftragsverarbeitern.
  • Bezüglich des EU-U.S. Privacy Shields stellt der ESDA fest, dass es keine Übergangsfrist für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten Datenschutzabkommens geben wird. Die Umstellung muss ohne Verzögerung stattfinden.

Stellungnahmen deutscher Aufsichtsbehörden

Die deutschen Datenschutzbehörden haben bisher noch keine gemeinsame Stellungnahme verfasst. Einige Aufsichtsbehörden, haben jedoch zu dem Urteil Stellung genommen. Die Äußerungen reichen von gehemmten und vorsichtigen Einschätzungen bis zur Voraussage eines Paradigmenwechsels für internationale Datenübermittlungen und eines generellen Verbots von Datentransfers in die USA.

Wenn Sie in einem der folgenden Bundesländer ansässig sind, sollten Sie diese Stellungnahmen gründlich lesen (Stand 29.07.2020):

Die gemeinsame Stellungnahme der deutschen Datenschutzaufsichtsbehörden zu Datenübermittlungen in Drittstaaten finden Sie hier.

Die Stellungnahme des Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) finden Sie hier.

 

Fazit: Es wartet Arbeit auf Ihren Datenschutzbeauftragten

Wenn Sie personenbezogene Daten außerhalb der EU bzw. des EWR – also in einem Drittland – verarbeiten (lassen), sollten Sie jetzt Folgendes umsetzen:

  • Überprüfen Sie Ihre internationalen Datentransfers: Haben Sie diese bereits im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO dokumentiert, können Sie diese Dokumentation nutzen, um die Datentransfers außerhalb der EU/des EWR und die Empfänger dieser Daten zu identifizieren.
  • Für personenbezogene Daten, die Ihr Unternehmen bislang allein auf Grundlage des EU-U.S. Privacy Shield in die USA übermittelt hat, müssen jetzt alternative Datenschutzgarantien gefunden werden, um diese Übermittlung zu legitimieren. SCC können ggf. als Alternative genutzt werden, Sie müssen aber vorher eine einzelfallbezogene Angemessenheitsprüfung vollziehen.
  • Unternehmen, die SCCs verwenden (oder in Erwägung ziehen), müssen die vom EuGH verlangte Prüfung des Datenschutzniveaus im Drittland durchführen. Hierfür ist in einem ersten Schritt die Rechtslage im Zielland u.a. mit Blick auf behördliche Zugriffsbefugnisse auf die übermittelten Daten zu analysieren. Eine gut dokumentierte Risikoanalyse in Bezug auf die übermittelten Daten kann hier hilfreich sein. Es empfiehlt sich, risikorelevante Faktoren wie die Sensibilität der der betroffenen Daten, Umfang der übermittelten Daten (Datenminimierung), eingesetzte technische Mittel wie Verschlüsselung (z.B. Ende-zu-Ende), etc. auszuwerten und zu dokumentieren.
  • Überprüfen und aktualisieren Sie Ihre Datenschutzerklärungen auf der Website und Ihre Informationsschreiben nach Art. 13 und 14 DSGVO, soweit diese von dem EuGH-Urteil betroffen sind.
  • Bleiben Sie in Sachen Datentransfer auf dem Laufenden – zum Beispiel mit unserem kostenlosen Newsletter. Es ist zu erwarten, dass der EDSA und die deutschen Aufsichtsbehörden weitere Hinweise und Leitlinien zu internationalen Datentransfers außerhalb der EU/des EWR veröffentlichen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

EuGH kippt EU-U.S. Privacy Shield – SCC weiterhin gültig

Mit dem EU-U.S. Privacy Shield hat der Europäischen Gerichtshof (EuGH) nach Safe Habor nun bereits den zweiten Datenschutz-Deal zwischen der EU-Kommission  und den USA gekippt. Die Übermittlung personenbezogener Daten in die USA und andere Drittstaaten (also außerhalb der EU bzw. des EWR) bleibt jedoch weiterhin möglich, sofern Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen den beteiligten Unternehmen bzw. Organisationen abgeschlossen werden (siehe auch die Pressemitteilung des EuGH).

Hintergrund des Richterspruchs ist die Beschwerde des Datenschutzaktivisten Max Schrems gegen Facebook. Schrems hatte beanstandet, dass Facebook Ireland seine personenbezogenen Daten ganz oder teilweise an Server der Facebook Inc., die sich in den USA befinden, übermittelt und dort verarbeitet. Er legte eine Beschwerde bei der für Facebook zuständigen irischen Aufsichtsbehörde ein, mit der Begründung, dass die USA keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisten. Schrems beantragte in seiner Klage, die von Facebook Ireland auf Basis der Standardvertragsklauseln vorgenommene Übermittlung personenbezogener Daten aus der EU in die USA auszusetzen bzw. zu verbieten. Der irische Gerichtshof (High Court) hat die Frage der Rechtmäßigkeit der Klauseln dem EuGH vorgelegt.

Standardvertragsklauseln bleiben gültig

In dem am 16. Juli 2020 verkündeten Urteil stellte der EuGH fest, dass personenbezogene Daten weiterhin auf Basis sogenannter Standardvertragsklauseln aus der EU in die USA und andere Drittstaaten übertragen werden können. Standardvertragsklauseln bieten demnach ausreichend Garantien, dass die personenbezogenen Daten in einem Drittland in vergleichbarem Maße wie in der EU geschützt werden.

Allerdings hoben die Richter deutlich hervor, dass Unternehmen beim Einsatz von Standarddatenschutzklauseln grundsätzlich zu prüfen haben, ob der Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Bei der Beurteilung des Schutzniveaus dürfen nicht nur die vertraglichen Regelungen berücksichtigt werden, der Datenexporteur muss auch prüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Klauseln einzuhalten. Ist dies nicht der Fall, muss der Exporteur die Datenübermittlung aussetzen bzw. vom Vertrag mit dem Empfänger zurücktreten. Hilfsweise müssten die Aufsichtsbehörden die Verarbeitung untersagen.

EU-U.S. Privacy-Shield ungültig

Das EU-U.S. Privacy Shield war bisher neben den EU-Standardvertragsklauseln der Kommission und Binding Corporate Rules eine zusätzliche Datenschutzgarantie im Rahmen von Datentransfers in die USA. Der EuGH stellte wie in der Safe-Harbor-Entscheidung von 2015 fest, dass auch beim EU-U.S. Privacy Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, womit durch die Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind.

Die Richter kamen zu dem Schluss, dass die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Ferner bezweifelten die Richter, dass die Position der von der EU-Kommission eingesetzten Ombudsperson auf Seiten der USA, an den sich EU Bürger wenden konnten, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sehen, unabhängig genug ist. Die Richter stellten grundsätzlich infrage, dass diese Ombudsperson die Macht hat, sich effektiv für EU-Bürger einzusetzen.

Konsequenzen für europäische Unternehmen

Das Urteil ist vor allem für europäische Unternehmen von Relevanz, die personenbezogene Daten in die USA übermitteln und den Datentransfer ausschließlich auf das EU-U.S. Privacy Shield stützen.

Aber das Urteil hat auch Auswirkungen für europäische Unternehmen, die personenbezogene Daten in Drittländer auf Grundlage von Standardvertragsklauseln übermitteln. Hier muss nun geprüft werden, ob der Empfänger im Drittland anhand der Rechtsordnung seines Landes überhaupt in der Lage ist, die Anforderungen der Standardvertragsklauseln einzuhalten.

Fazit: Ein Urteil mit enormen Auswirkungen

Wie schon nach dem Ende von Safe Harbor, droht nun eine verstärkte Unsicherheit für Unternehmen, die personenbezogene Daten in die USA übermitteln. Wer weiterhin personenbezogene Daten auf Grundlage der Privacy-Shield-Regeln in die USA übermittelt, muss wohl Bußgelder nach der EU-Datenschutz-Grundverordnung (DSGVO) fürchten.

Aber auch Unternehmen, die Standardvertragsklauseln mit Empfängern in Drittländern abgeschlossen haben, müssen jetzt selbst prüfen, ob die in den Klauseln getroffenen Vereinbarungen durch den Empfänger in seinem Rechtskreis eingehalten werden können oder nicht und dann die entsprechenden Konsequenzen ziehen.

Für eine endgültige Aussage über die Auswirkungen des Urteils auf den internationalen Datenverkehr ist es jetzt noch zu früh. Es empfiehlt sich, dass Thema im Auge zu behalten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Bußgeld gegen Krankenkasse wegen mangelhafter TOM

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LFDI) verhängte am 30. Juni 2020 eine Geldbuße in Höhe von 1,24 Mio. Euro gegen die AOK Baden-Württemberg. Der Vorwurf: Die Krankenkasse hatte keine angemessenen technischen und organisatorischen Maßnahmen (TOM) gemäß (Artikel 32 DSGVO) getroffen (siehe auch die Pressemitteilung des LFDI).

Hintergrund der DSGVO-Geldbuße

Die AOK Baden-Württemberg führte zu verschiedenen Anlässen Gewinnspiele durch und erhob aus diesem Anlass persönliche Daten der Teilnehmer, einschließlich ihrer Kontaktdaten und Krankenkassenzugehörigkeit. Um diese Daten für Marketingzwecke nutzen zu können, holte sie von den Teilnehmern eine Einwilligung ein.

Mit Hilfe technischer und organisatorischer Maßnahmen (wie z.B. interne Richtlinien und Datenschutzschulungen für die Mitarbeiter) wollte die Organisation sicherstellen, dass nur die Daten der Teilnehmer verwendet werden, die auch tatsächlich ihre Einwilligung gegeben haben.

Die eingesetzten Maßnahmen verhinderten jedoch nicht, dass Daten von 500 Teilnehmern verwendet wurden, die ihre Einwilligung nicht erteilt hatten. Deshalb kam der LFDI zu dem Schluss, dass die von der Organisation ergriffenen Maßnahmen nicht angemessen waren, und demnach ein Verstoß gegen Art. 32 Absatz 1 lit b) GDPR vorliegt.

Im Fokus: technische und organisatorische Maßnahmen

Dieser Fall betont erneut die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Interessant ist, dass das Bußgeld nicht für das Fehlen einer Rechtsgrundlage (hier: Einwilligung gem. Art. 6 Abs. 1 lit a) DSGVO) in 500 Fällen erlassen wurde.

Der LFDI kam zu dem Schluss, dass die AOK Baden-Württemberg ein Verfahren eingeführt hatte, dass grundsätzlich eine rechtmäßige Verarbeitung (d.h. Einholung der Einwilligung) gewährleistet. Allerdings fehlte ein Verfahren zur regelmäßigen Überprüfung und Anpassung der technischen und organisatorischen Maßnahmen, welches die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer (im vorliegenden Fall die Nicht-Verwendung der Daten ohne Einwilligung der Teilnehmer) gewährleistet.

Begründung der Bußgeldhöhe

Auf den ersten Blick erscheint das verhängte Bußgeld eher gering, vor allem wenn man sich das Bußgeld-Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor Augen führt.

Bei diesem Modell werden die Geldbußen auf der Grundlage des Jahresumsatzes der Unternehmen/Konzerne berechnet, multipliziert mit Faktoren, die je nach Schwere der Verstöße und anderen Umständen variieren. Da der Jahresumsatz die Grundlage für die Berechnung bildet, führt das neue Bußgeld-Konzept bei hohen Umsätzen in der Regel schon bei geringfügigen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu sehr hohen Geldbußen.

Zu Gunsten der AOK Baden-Württemberg sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde. Bei Bekanntwerden des Vorfalls, stellte die AOK Baden-Württemberg alle vertrieblichen Maßnahmen ein und passte die internen Prozesse und Kontrollstrukturen an.

Mit entscheidend für die Berechnung des Bußgeldes war auch, dass die AOK als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist und somit der gesetzlichen Aufgabe obliegt, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Vor allem wollte der LFDI bei der Festlegung der Höhe des Bußgeldes sicherstellen, dass die Erfüllung des gesetzlichen Auftrags der AOK Baden-Württemberg insbesondere im Hinblick auf die Auswirkungen der Corona-Pandemie nicht gefährdet wird.

Datenschutzrechtliche Einschätzung

Dieser Fall zeigt, dass Datensicherheit und die Einhaltung von Art. 32 DSGVO keine Aufgabe ist, die nur auf dem Papier stattfindet. Die regelmäßige Überprüfung und Anpassung technischer organisatorischer Maßnahmen sollt ernst genommen werden. Unternehmen und Organisationen müssen die Einhaltung der Sicherheitsmaßnahmen dokumentieren und nachweisen können.

Daten- und Informationssicherheit ist zudem eine Daueraufgabe, eine einmalige Implementierung der technischen organisatorischen Maßnahmen reicht nicht aus. Ein Datenschutzmanagementsystem mit den vier Schritten des PDCA-Modells (Planung, Umsetzung, Kontrolle und Optimierung) bietet einen sehr effizienten Weg, um ein angemessenes Datenschutzniveau im Unternehmen zu erreichen. Darüber hinaus können Datenschutzmaßnahmen so stetig verbessert und schnell an sich ändernde Bedingungen angepasst werden.

Neben diesem Punkt wird aber auch erneut deutlich, dass durch eine zügige Aufarbeitung eines Datenschutzverstoßes und eine Zusammenarbeit mit der Aufsichtsbehörde die Höhe eines fälligen Bußgeldes reduziert werden kann.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Informationssicherheit beim mobilen Arbeiten

Immer mehr Unternehmen digitalisieren ihre internen Prozesse, Wertschöpfungsketten und ganze Geschäftsmodelle. Organisatorische Erleichterungen sind dabei ebenso überzeugend, wie Kosteneinsparungen. Doch mehr Digitalisierung bedeutet auch, dass mehr Informationen geschützt werden müssen. Denn Informationssicherheit umfasst im Zeitalter von New Work weit mehr als IT- und Datensicherheit.

Stattdessen geht es darum, einen ganzheitlichen Ansatz zum Schutz geschäftsrelevanter Informationen – ein Informationssicherheits-Managementsystem (ISMS) – zu implementieren, etablieren und stetig zu verbessern. Unsere Einleitung verschafft Ihnen einen Überblick und zeigt konkrete Maßnahmen auf, wie Sie Ihre Informationssicherheit auch beim mobilen Arbeiten ermöglichen.

Informationssicherheit während der Corona-Krise

Die gegenwärtige Phase der Corona-Pandemie zwingt Unternehmen neue Weg zu gehen und sich im Umgang mit digitalen Technologien zu üben. Viele Beschäftigte arbeiten von zu Hause und Meetings finden online statt. Die Digitalisierung ermöglicht es, Geschäftsprozesse aufrecht zu erhalten, jedoch birgt sie auch Risiken, die es zu beherrschen gilt. Insbesondere sind IT-Abteilungen stark gefordert, um den Spagat zwischen Sicherheit und Produktivität bestmöglich zu bewältigten.

Eine der wichtigsten Präventivmaßnahmen gegen die Ausbreitung von Covid-19 ist die soziale Distanzierung. Epidemiologische Vorsorgemaßnahmen dürfen aber nicht zu Lasten von Schutzmaßnahmen bei der Informationssicherheit gehen, gerade wenn Unternehmen unter großem zeitlichem Druck Digitalisierungslösungen implementiert haben. Dies ist in der gegenwärtigen Situation zwar nachvollziehbar, da Unternehmen völlig überraschend und ungeplant getroffen wurden. Es ist dann aber auch nur eine Frage der Zeit, bis noch andere Bedrohungen als Corona den Unternehmensalltag belasten.

Gerade während der derzeitigen Corona-Pandemie werden Schutzlücken in krimineller Weise regelrecht ausgenutzt. Hinter Dokumenten (MS Word- und PDF-Dateien, aber auch Audioaufnahmen im MP3-Format), die angeblich Informationen zum Corona-Virus enthalten, verbergen sich immer wieder schädliche Programme.

Unternehmen sollten ein vernünftiges Risikomanagement betreiben und die richtigen Maßnahmen ergreifen. Vor allem gilt es die Mitarbeiter einzubinden, da schon kleine Fehler zu massiven Folgen führen können. Gerade die derzeitige Krise wird von Angreifern ausgenutzt, welche nicht nur technologische Schwachstellen, sondern auch die Unsicherheit der Mitarbeiter zu ihrem Vorteil nutzen.

Ein vernünftig umgesetztes ISMS umfasst deswegen u.a. regelmäßige Schulungen der Mitarbeiter zu Datenschutz und Informationssicherheitssicherheit und enthält Richtlinien zum mobilen Arbeiten.

Maßnahmen zur Minimierung von Sicherheitsrisiken

Die Grundpfeiler der Informationssicherheit sind die automatisierte Aktualisierung von Soft- und Hardware, regelmäßige Backups, der Einsatz von Verschlüsselungstechniken sowie ausreichender Passwortschutz. Diese Maßnahmen helfen die drei wichtigsten Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – zu gewährleisten.

Um Sicherheitsrisiken zu verringern, empfehlen wir deshalb mindestens folgende Maßnahmen der Informationssicherheit in Ihrem Unternehmen einzusetzen, insbesondere wenn Mitarbeiter mobil bzw. im Home-Office arbeiten:

Nutzung von VPN-Verbindungen

Den Zugriff auf das Unternehmensnetzwerk von außen sollten Unternehmen nur über eine VPN-Verschlüsselung erlauben. Eine sichere VPN-Verbindung erreichen Sie durch den Einsatz von SSL- oder TLS-Protokollen bei der Übertragung. Welche VPN-Technologie bzw. Verschlüsselungsstärke Sie einsetzen sollten, hängt im Wesentlichen davon ab, welche Daten über die Verbindung ausgetauscht werden sollen: je sensibler die Daten, desto höher die Verschlüsselungsstärke.

Sorgen Sie dafür, dass das VPN durch neueste Sicherheitspatches immer auf dem aktuellen Stand der Technik gehalten wird. Beachten Sie zudem, dass die Bandbreite am Firmenstandort es zulässt, dass Ihre Beschäftigten in ausreichender Qualität von außen auf das Netzwerk zugreifen können.

Achtung: Über schlecht geschützte private Computer der Mitarbeiter können sich Angreifer in das VPN-Netzwerk des Unternehmens schleichen. Regeln Sie deshalb unbedingt den Einsatz privater Endgeräte (Bring your own device, BYOD) und die dafür notwendigen Sicherheitsvorkehrungen.

Regelmäßige Sicherheitschecks der IT-Umgebung

Durch ein proaktives Monitoring können Sie gewährleisten, dass Sie Ihre Server jederzeit in vollem Umfang nutzen können. Relevant ist vor allem ein zuverlässiges und konsequentes Monitoring kritischer Schwellwerte. Es kann jederzeit zu Fehlermeldungen, Warnhinweisen oder sonstigen Systemstörungen in der IT-Infrastruktur kommen und deshalb ist es wichtig, dass die Ursache der Störung schnell gefunden und beseitigt wird. Nur so können Beeinträchtigungen des Geschäftsalltags verhindert werden.

  • Auch regelmäßige Sicherheitsupdates sind unerlässlich für eine gut funktionierende IT-Infrastruktur in Ihrem Unternehmen. Nicht aktualisierte Programme gelten als eine der zentralen Schwachstellen innerhalb von IT-Systemen. Auch wenn eine Vielzahl der Beschäftigten sich im Home-Office befindet, sollte unbedingt darauf geachtet, dass alle außerhalb des Unternehmens eingesetzten Programme und Geräte den aktuellen Stand an Sicherheitspatches aufweist. Für alle Systeme, einschließlich VPN und Firewalls, sollten regelmäßig Softwareupdates und Patches eingespielt werden.
  • Regelmäßige Überprüfung und gegebenenfalls Anpassung von Konfigurationen, Benutzer- und Administratorenrechte.
  • Ein aktives Sicherheitsvorfallmanagement sollte implementiert werden, um im Falle von Cyberattacken reagieren zu können.

Sichere Passwörter

Die Authentifizierung von Nutzern erfolgt zumeist über Passwörter. Sie sind der häufigste Zugangsschutz für Computer und Nutzerkonten. Unzureichende Passwörter erweisen sich deshalb immer wieder als unterschätztes Sicherheitsrisiko. Es gibt zahlreiche Tipps, wie Passwörter gewählt bzw. gestaltet sein sollten, damit diese ein ausreichendes Sicherheitsniveau gewährleisten können, z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI), den Datenschutzaufsichtsbehörden oder in unserem Ratgeber. Beachten Sie jedoch mindestens Folgendes:

  • Erstellung einer Passwort-Richtlinie: Dokumentierte Regelungen zur Gestaltung und Handhabung von Passwörtern, die zur Authentisierung berechtigter Benutzer eingesetzt werden. Die Richtlinie muss den Nutzern im Unternehmen zugänglich gemacht werden. Die Umsetzung sollte technisch erzwungen werden (z.B. über die Gruppenrichtlinie in Windows).
  • Reaktion auf fehlerhafte Anmeldungen durch Sperrung oder zeitliche Verzögerung für weitere Anmeldeversuche. Fehlgeschlagene Anmeldeversuche sollten protokolliert werden, um mögliche Angriffsversuche zu erkennen.
  • Keine unverschlüsselte Speicherung von Passwörtern. Sofern ein Passwort-Manager genutzt wird, muss der Zugang zur Passwort-Datenbank gut gesichert sein und nur ausgewählte Mitarbeiter sollten Zugriff haben.
  • Neben der einfachen Anmeldung per Passwort empfiehlt sich eine Zwei-Faktor-Authentifizierung als zusätzliche Option, um eine erhöhte Sicherheit zu erreichen.
  • Ein Transportpasswort darf nur zur Erstanmeldung berechtigen. Sofort nach der Erstanmeldung muss ein Passwortwechsel automatisch erzwungen werden. Voreingestellte Passwörter (z. B. im System- und Anwendungsbereich) sind sofort zu ändern.

Backups

Egal, ob die Mitarbeiter im Büro oder aus dem Home-Office arbeiten, ist dafür zu sorgen, dass die Daten verfügbar sind. Gute Backup-Lösungen sind wichtig und können darüber entscheiden, ob ein Unternehmen einen Sicherheitsvorfall ohne größere Probleme überstehen kann. Ein Backup-Konzept sollte mindestens Folgendes enthalten:

  • Festlegung der Verantwortlichkeiten für die Speicherung der Daten. Sorgen Sie dafür, dass ihre Mitarbeiter wissen, an wen Sie sich im Problemfall wenden können.
  • Es sollte eine eigenständige Lösung für die Speicherung gewählt werden, welche vom eigentlichen Kreislauf der IT gesondert behandelt wird. Z.B. sollte das Backup auf einem eigenen Server, externen Festplatten oder in einem externen Rechenzentrum erfolgen. Mehrere Speicherlösungen können entscheidende Vorteile im Ernstfall darstellen.
  • Regelmäßige Überprüfung und Kontrolle der Speichermedien, um sicherzustellen, dass die Speicherung funktioniert und dass die Wiederherstellung aus Backups funktioniert.

Überprüfung der Clouddienste

Ob Microsoft (Office) 365, der E-Mailserver eines Drittanbieters oder die gehostete Website, eben alles was sich nicht auf den Servern des Unternehmens oder den Computern befindet, sollte regelmäßig überprüft werden:

  • Können Beschäftigte remote auf die benötigten Dienste zugreifen?
  • Findet eine Sicherung der Daten statt?
  • Werden Content und Webangebote regelmäßig aktualisiert?
  • Wurden Endbenutzer-Lizenzverträge überprüft und ggf. angepasst? Stehen ausreichende Lizenzen zur Verfügung?
  • Wurden Verträge zur Auftragsverarbeitung abgeschlossen und sofern sich der Anbieter/Server außerhalb der EU bzw. des EWR befindet, gibt es Garantien zur Datenübertragung ins Drittland?

Digitale Meetings

Aufgrund der derzeitigen Kontaktverbote aber auch wegen remote-arbeitenden Beschäftigten oder Dienstleistern finden Meetings immer häufiger digital statt. Es gibt viele Tools und Pattformen, die für Telefon- oder auch Videokonferenzen eingesetzt werden können. Dabei müssen Sie sicherstellen, dass entsprechend ausreichend Lizenzen und Bandbreite verfügbar sind. Stellen Sie auch sicher, dass Sie ein Tool einsetzen, dass ausreichende Maßnahmen zum Datenschutz und Informationssicherheit bietet. Welche Anforderungen erfüllt werden sollten, haben wir in einem Ratgeber zusammengestellt.

Schulung und Sensibilisierung der Mitarbeiter

Es ist überaus wichtig, Mitarbeiter regelmäßig zu Sicherheitspraktiken zu schulen und über die Gefahren im Bereich der Informationssicherheit zu informieren bzw. dafür zu sensibilisieren. Hierzu gehört auch:

  • Aufgrund der Corona-Pandemie ist es zur Zunahme von Phishing-E-Mails gekommen. Deshalb gilt:
    • Nachrichten oder Anhänge unbekannter Absender dürfen nicht geöffnet werden. Bei Zweifeln ist die IT-Abteilung einzubeziehen.
    • URLs und Absender-Adressen müssen wachsam überprüft und erkannt werden.
  • Social-Engineering-Attacken haben zugenommen. Deswegen ist besondere Vorsicht geboten bei Inhalten mit:
    • Emotionalität und Dringlichkeit
    • angeblicher Exklusivität und unbekanntem Absender
    • Rechtschreib- und Grammatikfehlern
  • Regelmäßiger Hinweis, dass der Arbeitsrechner nicht von Familienmitgliedern genutzt wird. Werden private Arbeitsgeräte, wie Laptops und Mobiltelefone genutzt, muss ein Plan entwickelt werden, wie diese Geräte angemessen gesichert werden können.
  • Vertrauliche Gespräche dürfen nur in einer angemessenen Umgebung geführt werden, um ein Mithören durch Dritte (hierzu zählen auch Familienangehörige) zu vermeiden.
  • Datenschutz- und IT-Sicherheitsvorfälle sollten auch im Home-Office von den Arbeitnehmern umgehend an die entsprechenden Stellen gemeldet werden. Meldewege müssen bekannt und zugänglich sein, siehe dazu auch unsere Anleitung zum Umgang mit Datenschutz-Vorfällen.
  • Beschäftigte müssen darauf achten, Passwörter vor unbefugtem Zugriff zu schützen und diese weder aufzuschreiben noch Dritten mitzuteilen. Besteht der Verdacht, dass das Passwort einer anderen Person bekannt wurde, ist es unverzüglich zu ändern.
  • Beschäftigte sollten regelmäßig überprüfen, ob das Betriebssystem und die zum Einsatz kommenden Softwares aktuell sind. Updates müssen regelmäßig eingespielt werden. Außerdem sollte geprüft werden, ob der (W)LAN Router die neueste Firmware besitzt.

Zusätzlich zur Sensibilisierung ist es wichtig, dass Beschäftigte wissen, wie sie aus dem Home-Office arbeiten sollen. Eine Richtlinie zum Arbeiten im Home-Office und zum Umgang mit der IT sollten den Beschäftigten zugänglich sein.

Stellen Sie sicher, dass die Beschäftigten neue Informationen erhalten, damit diese die eingesetzten Technologien bedienen können und auf Veränderungen reagieren können. Dokumentieren Sie alle Schritte und passen Sie diese ggf. an.

 

Fazit: Informationssicherheit ist machbar – auch außerhalb des Büros

Informations- und Datensicherheit sind eine zentrale Voraussetzung dafür, unternehmensinterne Arbeitsprozesse zu digitalisieren und Beschäftigten das Arbeiten von überall zu ermöglichen. Hundertprozentige Sicherheit kann es dabei zwar nicht geben, es gilt aber ein möglichst hohes Informationssicherheitsniveau zu erreichen und die Schritte dafür zu dokumentieren.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten – und wir führen Ihr Unternehmen zur erfolgreichen Zertifizierung nach ISO 27001!

Geschrieben am:

Das Recht auf Einschränkung der Verarbeitung in der Praxis

Das Recht auf Einschränkung der Verarbeitung ergibt sich aus Art. 18 EU-Datenschutz-Grundverordnung (DSGVO) und gehört zu den sogenannten Betroffenenrechten. Dieses Recht gibt Betroffenen neben der Berichtigung und Löschung eine ergänzende Möglichkeit, Kontrolle und Steuerung über ihre personenbezogenen Daten auszuüben. Was müssen Verantwortliche tun, wenn Betroffene die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen?

Voraussetzungen des Rechts auf Einschränkung

Betroffene haben ein Recht auf Einschränkung in den nach Art. 18 Abs. 1 DSGVO folgenden Fällen:

  • bei bestrittener Richtigkeit der Daten für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen (lit. a);
  • bei unrechtmäßiger Datenverarbeitung und wenn Betroffene gleichzeitig die Löschung ablehnen und an Stelle die Einschränkung der Verarbeitung verlangen (lit. b);
  • aufgrund Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch Betroffene (lit. c);
  • aufgrund eines begründeten Widerspruchs der Betroffenen gemäß  21 Abs. 1 DSGVO, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der Betroffenen überwiegen (lit. d).

Bei den in lit. a, c und d beschriebenen Fällen handelt es sich jeweils um eine vorrübergehende Einschränkung der Verarbeitung. Lediglich bei lit. b ist eine dauerhafte Einschränkung vorstellbar. Wie lange die Einschränkung erfolgen muss, ist abhängig von den oben beschriebenen Fällen. Im Falle der bestrittenen Richtigkeit der Daten richtet sich der Zeitraum der Prüfung der Berechtigung des Antrags auf Berichtigung nach Art. 16 DSGVO:

  • Sofern eine unrechtmäßige Verarbeitung vorliegt, bis zum Verlangen der Löschung durch die Betroffenen.
  • Sofern eine Einschränkung aufgrund Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die Betroffenen vorliegt, für diesen Zeitraum.
  • Schließlich für den Zeitraum der Prüfung der Berechtigung des Widerspruchs nach 21 Abs. 1 DSGVO.

Folgen des Rechts auf Einschränkung

Der Verantwortliche hat alle Empfänger der von der Einschränkung betroffenen personenbezogenen Daten zu unterrichten, soweit ihm dies nicht ausnahmsweise unmöglich oder nur mit einem unverhältnismäßigen Aufwand durchführbar ist.

Sofern eine der oben genannten Voraussetzungen für eine Einschränkung der Verarbeitung erfüllt ist, ist die Verarbeitung der personenbezogenen Daten auf die Speicherung beschränkt. Eine Verarbeitung dieser Daten über die reine Speicherung ist dann nur in folgenden Fällen zulässig:

  • bei Einwilligung der betroffenen Person;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  • zum Schutz der Rechte Dritter;
  • aus Gründen eines wichtigen öffentlichen Interesses.

Wichtig ist zudem, dass die Betroffenen zuvor über die Aufhebung der Einschränkung der Verarbeitung zu informieren sind.

Wie ist die Einschränkung der Verarbeitung sicherzustellen?

Nach Art. 4 Nr. 3 DSGVO handelt es sich bei der Einschränkung der Verarbeitung um die Markierung gespeicherter personenbezogener Daten, mit dem Ziel ihre Weiterverarbeitung zukünftig einzuschränken. Eine Weiterverarbeitung ist dann nur noch für bestimmte Zwecke zugelassen (siehe oben). Um diese Zweckbegründung zu ermöglichen, sind die Daten zu markieren und es ist dann dafür zu sorgen, dass die Markierung auch beachtet wird.

Wie diese Markierung zum Zwecke der Einschränkung der Verarbeitung zu erfolgen hat, wird in Art. 18 DSGVO nicht beschrieben. Folgende Kriterien sollten jedoch erfüllt werden:

  • Jede Art der Markierung muss unmissverständlich und leicht erkennbar auf den Umstand der Verarbeitungseinschränkung hinweisen.
  • Die Art und Weise der Markierung darf keine negativen Rückschlüsse auf die personenbezogenen Daten des Betroffenen zulassen.
  • Es müssen geeignete technische Maßnahmen ergriffen werden, so dass die Daten nur noch zu den oben genannten Zwecken verarbeitet werden.

Praxistipp: Umsetzung der Einschränkung der Verarbeitung

In Erwägungsgrund 67 DSGVO werden Beispiele genannt, welche Methoden zur Einschränkung der Verarbeitung eingesetzt werden können. Demnach sollten Daten vorrübergehend in ein anderes Verarbeitungssystem übertragen oder durch Änderungen der Zugriffsrechte für Nutzer der Systeme gesperrt werden. Öffentliche-zugängliche Daten sollten vorrübergehend von der Website bzw. dem betriebenen Onlinedienst entfernt werden. Als technische Maßnahme wird eine automatisierte Sperre der betroffenen personenbezogenen Daten gegen die weitere Verarbeitung oder Veränderung einschließlich eines automatisierten Hinweises auf die Sperrung der betroffenen personenbezogenen Daten empfohlen.

Gleiches gilt auch bei der nicht automatisierten Verarbeitung, wie beispielsweise bei systematisch angelegten Patientenkarteikarten. Hier genügt es für die Einschränkung der Verarbeitung nicht, wenn diese z.B. durch einen Vermerk oder Stempel als „Daten gesperrt“ gekennzeichnet werden. Die Möglichkeit der Kenntnisnahme und damit eine über die Zweckbegrenzung hinausgehende Verarbeitung zu anderen, als den in Art. 18 Abs. 2 DSGVO genannten Zwecken, bliebe hier möglich. Als geeignete Maßnahme um die Einschränkung der Verarbeitung sicherzustellen, empfiehlt sich hier das Aussortieren der entsprechenden Karteikarten und deren Verwahrung an einem entsprechend zugangsgesicherten Ort.

Es ist zudem sicherzustellen, dass die Einschränkung der Verarbeitung auch bei etwaigen Sicherungskopien greift.

Form und weitere Modalitäten der Rechteausübung

Aus Art. 12 DSGVO lässt sich zwar ableiten, dass ein Antrag auf Einschränkung der Verarbeitung gestellt werden muss, es wird jedoch keine ausdrückliche Formanforderung an den Antrag gestellt. Betroffenen können das Recht auf Einschränkung demnach elektronisch oder auch – allerdings sollte dies aufgrund mangelnder Beweise vermieden werden – mündlich ausüben. Der Antragssteller muss jedoch seine Identität darlegen, um sein Recht ausüben zu können. Die Identität ist durch den Verantwortlichen zu prüfen, bevor eine Einschränkung der Verarbeitung der betroffenen Daten erfolgt.

Allgemeine Anforderungen an den Verantwortlichen zum Umgang mit dem Recht auf Einschränkung regelt ebenfalls Art. 12 DSGVO. Der Verantwortliche muss Betroffenen die Ausübung ihres Rechts auf Einschränkung der Verarbeitung erleichtern und sie unverzüglich, spätestens aber innerhalb eines Monats ab Eingang des Antrags über die auf ihren Antrag hin unternommenen Maßnahmen informieren. Diese Frist kann in wenigen gut begründeten Ausnahmen Frist um höchstens zwei weitere Monate verlängert werden. Sofern der Verantwortliche nicht tätig wird, muss er Betroffene über die Gründe hierfür und über Rechtsschutzmöglichkeiten ohne Verzögerung, aber spätestens binnen Monatsfrist ab Eingang des Antrags informieren.

Zudem muss der Verantwortliche die Einschränkung der Verarbeitung grundsätzlich unentgeltlich durchführen, sofern er nicht eine offenkundige Unbegründetheit oder einen exzessiven Charakter des Antrags nachweisen kann. Letzteres würde dann ein angemessenes Entgelt gerechtfertigten.

Fazit: Einschränkung ist manchmal besser als Löschung

Das Betroffenenrecht auf Einschränkung der Verarbeitung ist ein wichtiges Steuerungsrecht, das einen differenzierten Umgang mit personenbezogenen Daten ermöglicht – vor allem in Situationen, in denen eine sofortige Berichtigung oder Löschung nicht sachgerecht erscheint. Das Recht auf Einschränkung ist demnach in bestimmten Situationen ein milderes Mittel im Vergleich zur Löschung, da die Verarbeitung lediglich eingeschränkt wird. Zugleich erhalten Betroffene einen effektiven Rechtsschutz bis zur Klärung der Rechtslage.

Darüber hinaus empfehlen wir Ihnen unsere Anleitung zum Umgang mit Betroffenenanfragen und die kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Vorbereitung auf die Zeit nach dem Brexit (Anleitung)

Nach dem Brexit, dem Austritt Großbritanniens aus der EU, gilt bis zum Ende des Jahres 2020 eine Übergangsfrist, in der das Vereinigte Königreich datenschutzrechtlich weiterhin wie ein EU-Mitgliedsstaat behandelt wird. Doch wie können sich Unternehmen in der Union, die mit britischen Unternehmen personenbezogene Daten austauschen, auf die Zeit ab dem 1. Januar 2021 vorbereiten?

Datenübertragungen nach Großbritannien nach dem Brexit

Es ist eher unwahrscheinlich, dass die EU-Kommission bis zum Ende der Brexit-Übergangsfrist einen Angemessenheitsbeschluss gemäß Art. 45 Datenschutz-Grundverordnung (DSGVO) zum Datenschutzniveau in Großbritannien fasst. Warum dies sogar auf längere Sicht schwierig sein könnte, haben wir in dieser Faktensammlung zum Brexit dargelegt.

Ohne einen solchen Angemessenheitsbeschluss wird das Vereinigte Königreich Großbritannien und Nordirland zu einem sogenannten Drittstaat. Übertragungen personenbezogener Daten aus der EU nach Großbritannien bedürfen dann gesonderter Nachweise über die Gewährleistung des Datenschutzes vor Ort.

Um sich auf diesen Fall vorzubereiten, sollten Unternehmen mit Standorten, Tochterunternehmen oder Auftragsverarbeitern im Vereinigten Königreich jetzt schon Folgendes zu tun:

Verantwortliche müssen bei einer Datenübermittlung in das Drittland Großbritannien

  • feststellen, welche Verarbeitungstätigkeiten die Übermittlung personenbezogener Daten nach Großbritannien vorsehen;
  • für diese Verarbeitungstätigkeiten jeweils geeignete Garantien nach Artikel 46 DSGVO festlegen, z.B.
    • EU-Standardvertragsklauseln,
    • verbindliche unternehmensinterne Regelungen (Binding Corporate Rules, BCR) oder
    • Zertifizierungen;
  • die gewählten Garantien so umsetzen, dass ab 1. Januar 2021 greifen,
  • in der Dokumentation der Verarbeitungstätigkeiten vermerken, dass Übermittlungen in das Drittland Großbritannien erfolgen,
  • die Informationsschreiben nach Artikel 13 und 14 DSGVO entsprechend aktualisieren.

Unternehmen muss klar sein, dass wenn sie personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten nach Großbritannien übermitteln, rechtswidrig handeln. Die Aufsichtsbehörden können dann Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

3 Gründe warum die DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt

Die EU-Datenschutz-Grundverordnung (DSGVO) findet derzeit auch in Großbritannien Anwendung. Zudem gilt das Information Commissioner’s Office (ICO) als eine der strengsten Datenschutz-Aufsichtsbehörden in Europa. Warum die Einhaltung der DSGVO für britische Unternehmen auch nach dem Brexit wichtig bleibt, erfahren Sie hier.

1. Angemessenheit des Datenschutzniveaus in Großbritannien

Sofern die EU-Kommission während der Brexit-Übergangsphase zum 31. Dezember 2020 nicht in einem sogenannten Angemessenheitsbeschluss feststellt, dass Großbritannien über ein angemessenes Schutzniveau verfügt, unterliegt die Verarbeitung personenbezogener Daten aus der EU durch britische Unternehmen hohen Anforderungen. Wie schwierig der Nachweis eines angemessenen Schutzniveaus sein kann, zeigt die Entscheidung des Europäischen Gerichtshofs (EuGH) zum Safe- Harbor-Abkommen, das Datentransfers zwischen der EU und den USA ermöglichte.

Auch wenn Großbritannien die DSGVO in nationales Recht implementiert, wird Großbritannien ohne Angemessenheitsbeschluss zu einem sogenannten Drittland und die Regeln zum Drittlandtransfer müssen dann nach der Übergangsphase beachtet werden.

Für internationale Datentransfers ausschließlich innerhalb von Konzernen können alternativ Binding Corporate Rules (BCR) oder vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln als Grundlage eines angemessenen Datenschutzniveaus dienen. Eine Auftragsverarbeitung ist bei Anwendung dieser zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich. Die Umsetzung von BCR ist jedoch sehr aufwendig, da seitens der Aufsichtsbehörden detaillierte und umfangreiche Anforderungen an die Ausgestaltung gestellt werden. Standardvertragsklauseln sind demgegenüber einfacher umzusetzen und daher für sporadische Datenvermittlung praktikabler.

2. Die DSGVO ist für Personen, die sich in der EU aufhalten in jedem Fall anzuwenden

Viele britische Unternehmen werden weiterhin auf dem EU-Binnenmarkt tätig sein, um EU-Bürgern Produkte oder Dienstleistungen anzubieten. Sobald diese Unternehmen personenbezogene Daten von EU-Bürgern verarbeiten, müssen sie sich (weiterhin) an die DSGVO halten. Ein britisches Online-Reisebüro, das Flugtickets an Kunden mit einer Rechnungsadresse in der EU oder per E-Mail an einen in der EU ansässigen Kunden verkauft, unterliegt demnach den Regelungen der DSGVO und auch den nationalen Datenschutzrechten des jeweiligen EU Mitglied-Staates. Britische Unternehmen müssen daher zunächst sicherstellen, dass eine solche Datenverarbeitung dem EU-Recht entspricht.

3. Die Nicht-Einhaltung der DSGVO ist viel zu riskant

Die DGVO enthält nicht nur zahlreiche neue Regelungen für Unternehmen, sondern auch hohe Geldbußen für die Nicht-Einhaltung der Verpflichtungen. Britische Unternehmen könnten bei Datenschutz-Verstößen aufgrund der Verarbeitung personenbezogener Daten in der EU mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes belangt werden – je nachdem welcher Betrag höher ist!

Fazit: Britische Unternehmen sind mit der DSGVO gut beraten

Während sich die Regierung Großbritanniens auf die Zeit nach dem Brexit vorbereitet, sind britische Unternehmen aus allen Sektoren gut damit beraten, weiterhin die Regelungen der DSGVO einzuhalten. Sollte die britische Regierung das nationale Datenschutzrecht nach dem Brexit nicht ohnehin an die DSGVO anpassen, müssen britische Unternehmen, die personenbezogene Daten von Personen in der EU verarbeiten, dennoch die Vorschriften der DSGVO beachten. Darüber hinaus kündigte die britische Aufsichtsbehörde an, dass nach dem Brexit sehr ähnliche Standards gelten werden.

Sie arbeiten mit britischen Unternehmen zusammen oder lassen in Großbritannien Daten verarbeiten? Wir steuern Sie sicher durch den Brexit. Als externer Datenschutzbeauftragter sogar zum Festpreis!

Geschrieben am:

DSGVO-konforme Namensschilder von Mitarbeitern

In vielen Unternehmen ist es üblich, dass Beschäftigte ein Namensschild auf der Arbeitskleidung tragen. Vor allem in Bereichen, in denen Mitarbeiter regelmäßigen Kundenkontakt haben, ist dies gang und gäbe. Oft beinhalten diese Namensschilder den Vornamen und Nachnamen des jeweiligen Mitarbeiters. Doch anhand welcher Kriterien sollten Unternehmen entscheiden, ob die (vollständige) namentliche Nennung eines Mitarbeiters auf dessen Arbeitskleidung datenschutzrechtlich zulässig ist?

Ist die Datenschutz-Grundverordnung anwendbar?

Bei Vor- und Nachnamen von Mitarbeitern handelt es sich zweifelsfrei um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO (Datenschutz-Grundverordnung). Technisch gesehen sind Namensschilder Ausdrucke von Namenslisten z.B. aus der Personalverwaltung, die dann auf die das Schild oder die Arbeitskleidung übertragen werden. Kunden und sonstige Dritte erhalten somit Kenntnis vom Vor- und Zunamen des jeweiligen Mitarbeiters. Diese Vorgehensweise entspricht einer  automatisierten Verarbeitung personenbezogener Daten, so dass die DSGVO Anwendung findet.

Im Beschäftigtenkontext fallen sogar nicht automatisierte Verarbeitungen gemäß § 26 BDSG Abs. 7 in den Anwendungsbereich der DSGVO. Somit muss der Datenschutz   auch für handschriftlich angefertigte Namensschilder berücksichtigt werden.

Rechtmäßigkeit der Verarbeitung

Damit die Verarbeitung datenschutzrechtlich zulässig ist, benötigt der Verantwortliche – in diesem Falle der Arbeitgeber – eine Rechtsgrundlage. Das Tragen von Namensschildern ist grundsätzlich nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich. Es geht hierbei vielmehr darum, die namentliche Ansprechbarkeit zu gewährleisten. Somit kommt § 26 des Bundesdatenschutzgesetzes (BDSG) als Rechtsgrundlage für die Verarbeitungssituation im Beschäftigungsverhältnis nicht zur Anwendung.

Die Zulässigkeit der Verarbeitung muss nach Artikel 6 Abs. 2 lit. f DSGVO (sogenanntes berechtigtes Interesse) beurteilt werden. Der Verarbeitung steht demnach nichts entgegen, wenn

  1. berechtigte Interessen des Arbeitgebers an dem Tragen der Namensschilder durch seine Beschäftigten bestehen und
  2. die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Beschäftigten nicht überwiegen.

Als berechtigtes Interesse eines Arbeitgebers kommt z.B. eine kundenfreundliche Bedienung in Betracht. Kunden haben somit die Möglichkeit der persönlichen Ansprache des jeweiligen Mitarbeiters, aber auch der gezielten Beschwerdemöglichkeit bei Fehlverhalten des betreffenden Mitarbeiters. Dem gegenüber könnte der Mitarbeiter ein Interesse haben, nicht durch Kunden persönlich identifiziert zu werden.

Ohne Kundenkontakt, d.h. wenn Namensschilder nur innerhalb eines Unternehmens getragen werden, gäbe es keine datenschutzrechtlichen Bedenken. In diesem Fall würden die Grundrechte und Grundfreiheiten der betroffenen Beschäftigten nicht überwiegen. Das Tragen eines Namenschildes wäre unbedenklich und nach DSGVO zulässig.

Bei Mitarbeitern mit Kundenkontakt, die verpflichtet sind Namensschilder mit Vor- und Zunamen tragen, könnten die Grundrechte und Grundfreiheiten der Beschäftigten überwiegen. Das Risiko belästigt zu werden, besteht schon alleine deshalb, weil es heutzutage ohne Weiteres möglich ist, über eine Onlinesuche weitere Informationen über den betroffenen Mitarbeiter zu erlangen (z.B. Privatanschrift). Ggf. ist es sogar möglich anhand der Daten und Recherchen, Profile über den betroffenen Mitarbeiter zu erstellen (Urteil des Europäischen Gerichtshofs vom 06.10.2015, Az.: C-362/14). Demnach besteht das Risiko, dass die Grundrechte auf Achtung des Privatlebens und des Schutzes personenbezogener Daten verletzt werden könnten.

Hinzukommt der Grundsatz der Datenminimierung, welcher besagt, dass personenbezogene Daten nur insoweit verarbeitet werden dürfen, als sie als Mittel zur Erreichung des Zwecks der Verarbeitung erforderlich sind. (Art. 5 Abs. 1 lit. c DSGVO). Unter dieser Voraussetzung sollten Arbeitgeber entweder nur den Vornamen oder nur den Nachnamen des Mitarbeiters auf Namenschildern anbringen.

Zur Zweckerreichung – kundenfreundliches Auftreten des Unternehmens – ist ein Namensteil völlig ausreichend. Zusätzlich werden hierdurch die Interessen, Grundrechte und Grundfreiheiten des betroffenen Mitarbeiters berücksichtigt.

Fazit: Namensschilder sind auch unter der DSGVO möglich

Namenschilder sind datenschutzrechtlich auch bei Kundenkontakt zulässig, sofern das berechtigte Interesse des Verantwortlichen überwiegt und der Grundsatz der Datenminimierung eingehalten wird. Beachten Sie auch, ihre Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten für Namensschilder im Rahmen der Information gem. Art. 13 DSGVO zu informieren. Nutzen Sie hierfür z.B. unseren kostenlosen Generator für ein Mitarbeiterinformationsschreiben gemäß DSGVO.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenpanne im Krankenhaus führt zu DSGVO-Geldbuße

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen ein Krankenhaus wegen Fehlern im Umgang mit Patientendaten eine Geldbuße von 105.000 Euro verhängt. Laut Aufsichtsbehörde kamen mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) im Zusammenhang mit einer Patientenverwechslung ans Licht. Das Krankenhaus hat die verhängte Geldbuße akzeptiert.

Bei der Aufnahme eines Patienten kam es anscheinend zu einer Verwechslung, welche dann auch zu einer falschen Rechnungsstellung führte. Laut Pressemitteilung der Aufsichtsbehörde offenbarte diese Datenschutzverletzung „strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“. Entlastend bei der Bemessung der Geldbuße wirkten wohl die vorgetragenen Bemühungen des Krankenhauses, das Datenschutzmanagementsystem nachhaltig zu verbessern und weiterzuentwickeln.

Die rheinland-pfälzische Aufsichtsbehörde unterstrich, dass die Geldbuße auch als ein Signal verstanden werden soll, aufgrund der Sensibilität der Daten im Gesundheitswesen besondere Vorkehrungen zu treffen. Geldbußen enthalten neben ihrer Sanktionswirkung „immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird.“

Die Verhängung der Geldbuße gegen das Krankenhaus ist ein weiteres Indiz dafür, dass die deutschen Aufsichtsbehörden bei Missständen in der Verarbeitung personenbezogener Daten nun konsequent vorgehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

ePrivacy-Verordnung ist (vorerst) gescheitert

Der Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten (COREPER) hat den aktuellen Entwurf für die ePrivacy-Verordnung abgelehnt. Demnach kann auch fast drei Jahre nach dem ersten Entwurf vorerst nicht mit einem Beschluss des Gesetzes zum Schutz der digitalen Kommunikation gerechnet werden.

Warum die ePrivacy-Verordnung vorerst scheiterte

Die Ablehnung des Entwurfs ist ein bedeutender Rückschlag für den Datenschutz, da die ePrivacy-Verordnung die EU-Datenschutz-Grundverordnung (DSGVO) zu entscheidenden Themen wie Cookies und unaufgeforderte elektronische Werbung ergänzen sollte.

Ein neuer Entwurf für die ePrivacy-Verordnung (vollständiger Name: Verordnung des Europäischen Parlaments und Rates bezüglich des Respektes der Privatsphäre und des Schutzes personenbezogener Daten in elektronischer Kommunikation die die Richtlinie 2002/58/EC widerruft (Richtlinie über Privatsphäre und Elektronische Kommunikation)) wurde unter der Leitung der finnischen Ratspräsidentschaft ausgearbeitet und am 15. November 2019 zur Überprüfung vorgelegt. Der Vorschlag wurde jedoch von einer großen Mehrheit der Vertreter der Mitgliedstaaten (darunter auch Deutschland) abgelehnt. Dabei ging manchen Staaten selbst der abgeschwächte Vorschlag der Finnen noch zu weit, andere Saaten wünschten sich jedoch stärkeren Schutz für Vertraulichkeit in der Online-Kommunikation.

Wie geht es weiter mit der ePrivacy-Verordnung?

Im Jahr 2020 wir die neue EU-Kommission unter dem Vorsitz der kroatischen und dann deutschen Ratspräsidentschaft den Vorschlag neu formulieren müssen. Hinter vorgehaltener Hand wird bereits spekuliert, dass der gesamte Vorschlag zurückgezogen wird. In der Praxis bedeutet dies, dass die Regeln für Websitebetreiber weiter ein Patchwork nationaler Gesetzgebungen zur Umsetzung der DSGVO für die elektronische Kommunikation bleiben werden.

Etwas Licht ins Dunkle brachte das Urteil des Europäischen Gerichtshof (EuGH) in der Sache Planet 49 zum Einsatz von Cookies. Auch die deutschen Datenschutzbehörden haben dargelegt, wie ihrer Auffassung nach ein DSGVO-konformes Nutzertracking gestaltet werden könnte. Dies sind aber nur die Ansichten der deutschen Behörden. Inwiefern diese richtig oder falsch sind, kann nur gerichtlich geklärt werden.

Die Rechtslage bleibt also weiterhin unklar und klare Handlungsempfehlungen können derzeit nicht gegeben werden. Auch sogenannte „Consent-Manager“ werden nicht immer eine optimale Lösung darstellen, da diese trotz richtiger Konfiguration, aufgrund mangelnder Transparenz wohl zumindest angreifbar, wenn nicht sogar unwirksam sein dürften.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: